Исследователи компании CyberArk выявили XSS-уязвимость в веб-панели управления известного стилера StealC и смогли использовать ее против самих операторов вредоноса. Эксплуатация ошибки в коде административного интерфейса позволила получить техническую информацию об устройствах злоумышленников, их геолокацию, а также доступ к сессионным cookie для перехвата активных сессий.
Что представляет собой стилер StealC и почему он популярен
StealC появился в начале 2023 года и быстро стал одним из заметных игроков на рынке Malware-as-a-Service (MaaS). Стилеры — это класс вредоносного ПО, предназначенный для кражи учетных данных, файлов cookie, данных автозаполнения браузера, криптокошельков и другой чувствительной информации.
StealC привлек внимание киберпреступников благодаря сочетанию обхода защитных механизмов и широкой функциональности. По мере развития проекта автор вредоноса регулярно добавлял новые возможности, а в 2024 году вышла версия StealC V2 с поддержкой Telegram-ботов и обновленным билдером. Билдер позволяет генерировать сборки на основе шаблонов и кастомных правил: операторы могут уточнять, какие типы данных интересуют их в первую очередь и под какие сценарии атак формировать нагрузку.
XSS-уязвимость в панели StealC: как она работала
Параллельно с развитием самого стилера в сеть попал исходный код его административной панели. Это открыло специалистам по кибербезопасности возможность детально изучить внутреннее устройство инфраструктуры StealC. В ходе анализа эксперты CyberArk обнаружили XSS-уязвимость (межсайтовый скриптинг) в панели управления.
Суть XSS состоит в том, что злоумышленник (или в данном случае — исследователь) может внедрить произвольный JavaScript-код в веб-страницу, который будет выполнен в браузере пользователя, открывшего эту страницу. В случае с панелью StealC это позволило встроить скрипты, которые выполнялись в браузерах самих операторов малвари, когда те заходили в административный интерфейс.
По данным CyberArk, эксплойт позволял проводить фингерпринтинг браузера и оборудования, наблюдать за активными сессиями и похищать сессионные cookie. Это, в свою очередь, дало возможность перехватывать управление сессиями в панели, не зная изначальных учетных данных. Конкретные технические подробности реализации уязвимости исследователи намеренно не раскрывают, чтобы затруднить оперативное исправление бага операторами StealC.
Деанонимизация операторов StealC и утечки технических данных
Эксплуатируя XSS, специалисты CyberArk смогли собрать обширный массив данных о некоторых операторах StealC: модель и архитектуру устройств, установленные языковые настройки, часовой пояс, а также приблизительное местоположение. Как отмечают исследователи, им также удалось получить доступ к сессионным cookie, что позволило перехватывать активные админские сессии в панели.
Один из наиболее показательных кейсов связан с оператором под ником YouTubeTA. Анализ скомпрометированных сессий показал, что он работал с системы на базе Apple M3, использовал английский и русский языки интерфейса и находился в часовом поясе Восточной Европы. Дополнительно было зафиксировано, что часть активности шла через украинский сегмент сети, а один из визитов в панель StealC был осуществлен без VPN, что позволило зафиксировать реальный IP-адрес, принадлежащий украинскому провайдеру TRK Cable TV.
Кейс YouTubeTA: взлом легитимных YouTube-каналов и пиратский софт
Собранные данные показали, что YouTubeTA специализировался на компрометации легитимных YouTube-каналов. Вероятнее всего, он использовал ранее похищенные учетные данные, чтобы получить доступ к давно неактивным, но авторитетным каналам с живой аудиторией.
После взлома таких каналов злоумышленник размещал на них видеоролики с ссылками на вредоносные загрузчики под видом популярного пиратского софта. Скриншоты панели управления YouTubeTA свидетельствуют, что максимальный объем заражений приходился на пользователей, которые искали нелегальные версии Adobe Photoshop и Adobe After Effects. За 2025 год оператор, по оценке CyberArk, собрал более 5000 логов жертв, похитил около 390 000 паролей и порядка 30 млн cookie (большая часть которых не содержала критически важной информации, но увеличивала шанс доступа к ценным сессиям).
MaaS-платформы как фактор риска и практические выводы
StealC — типичный пример MaaS-платформы, которая позволяет сравнительно быстро масштабировать преступные операции: автор вредоноса берет на себя разработку и поддержку инструментария, а десятки и сотни операторов фокусируются на распространении и монетизации атак. По данным отраслевых отчетов ведущих вендоров ИБ, подобная модель уже стала одним из ключевых трендов киберпреступности последних лет.
Исследователи CyberArk подчеркивают, что решили публично раскрыть факт XSS-уязвимости именно сейчас в надежде нарушить работу StealC и заставить часть операторов отказаться от его использования. Чем более массовым становится конкретный MaaS-сервис, тем сильнее эффект от подобных точечных ударов по его инфраструктуре: возрастает недоверие среди операторов, усложняется поддержка и развитие платформы, снижается ее привлекательность на черном рынке.
С точки зрения защитных мер этот инцидент подтверждает несколько принципиально важных выводов. Во-первых, пользователям и компаниям критично важно отказаться от скачивания пиратского ПО: запросы вроде “скачать Photoshop бесплатно” напрямую связаны с высоким риском заражения стилерами. Во-вторых, необходимо использовать менеджеры паролей, включать двухфакторную аутентификацию и регулярно очищать cookie и сессии в браузере. В-третьих, для бизнеса становится все более актуальной постоянная охота за угрозами (threat hunting) и мониторинг утечек учетных данных.
Ситуация вокруг StealC демонстрирует, что даже хорошо выстроенные преступные экосистемы уязвимы для технических и аналитических атак со стороны специалистов по кибербезопасности. Чем больше организаций инвестируют в проактивные исследования, тем выше шанс выявлять и дестабилизировать MaaS-платформы до того, как они станут массовым инструментом атак. И пользователям, и компаниям стоит внимательно относиться к цифровой гигиене, следить за рекомендациями ИБ-сообщества и использовать инциденты вроде XSS в StealC как повод пересмотреть собственную стратегию кибербезопасности.
